Aplikasi Microsoft Phone Link kini disorot setelah peneliti keamanan menemukan skenario serangan yang bisa membuka akses ke data ponsel dari PC Windows yang sudah terinfeksi malware. Risiko utamanya bukan berasal dari ponsel, melainkan dari komputer yang terhubung dan dipakai untuk menyinkronkan pesan, notifikasi, serta panggilan.
Ancaman ini penting karena Phone Link dirancang untuk menjembatani ponsel dan PC dalam satu alur kerja yang praktis. Jika komputer jatuh ke tangan malware, data sensitif yang ikut tersinkron, termasuk kode OTP dan notifikasi autentikasi, berpotensi ikut terekspos.
Cisco Talos menyebut kampanye ini melibatkan remote access trojan bernama CloudZ. Peneliti mengatakan serangan ini sudah berlangsung sejak awal tahun dan memanfaatkan hubungan sinkronisasi antara smartphone dan komputer Windows.
Dalam skema ini, pelaku ancaman tidak perlu membobol aplikasi Phone Link secara langsung di sisi layanan. Mereka lebih dulu mengompromikan PC korban, lalu memanfaatkan data yang sudah dicerminkan dari ponsel ke komputer tersebut.
Cara malware membidik Phone Link
Menurut Talos, pelaku memakai malware modular CloudZ RAT bersama plugin tambahan bernama Pheno. Plugin ini dirancang untuk memindai sistem dan mencari sesi Phone Link yang sedang aktif.
Pheno disebut memantau proses yang terkait dengan aplikasi itu, termasuk “YourPhone”, “PhoneExperienceHost”, dan “Link to Windows”. Jika koneksi aktif ditemukan, malware dapat mencoba mengakses data yang tersimpan dari proses sinkronisasi tersebut.
Salah satu target utamanya adalah file basis data SQLite milik aplikasi. File seperti “PhoneExperiences-*.db” dilaporkan dapat memuat SMS yang telah disinkronkan, log panggilan, dan riwayat notifikasi.
Di titik inilah bahayanya membesar bagi pengguna biasa. Pesan pribadi, notifikasi login, hingga OTP yang tampil di ponsel lalu ikut muncul di PC bisa ikut terbaca oleh malware.
Rantai infeksi dimulai dari pembaruan palsu
Talos menjelaskan bahwa intrusi bermula ketika korban tertipu memasang file yang tampak seperti pembaruan sah untuk ScreenConnect. Installer palsu itu dilaporkan menurunkan loader berbahasa Rust yang menyamar dengan nama seperti “systemupdates.exe” atau “Windows-interactive-update.exe”.
Setelah dijalankan, loader itu memasang komponen .NET perantara. Komponen inilah yang kemudian mengarah pada pemasangan CloudZ RAT di sistem korban.
Sesudah aktif, malware dapat mendekripsi data konfigurasi dan terhubung ke server yang dikendalikan penyerang. Dari sana, CloudZ masuk ke mode perintah yang memungkinkan pengunduhan plugin tambahan dan pencurian informasi.
Dengan kata lain, file pembaruan palsu menjadi pintu masuk awal. Setelah itu, program tersembunyi dipasang diam-diam dan memberi penyerang kendali untuk memantau aktivitas perangkat serta mengambil data sensitif.
Teknik penghindaran deteksi
Peneliti juga mencatat bahwa CloudZ memakai beberapa teknik untuk menyulitkan deteksi. Di antaranya adalah obfuscation dan pemeriksaan anti-debugging.
Malware ini juga dilaporkan mengganti-ganti user-agent agar lalu lintas berbahayanya terlihat mirip aktivitas browser yang sah. Untuk mengunduh muatan tambahan, CloudZ memakai beberapa metode cadangan seperti curl, PowerShell, dan bitsadmin.
Pendekatan itu membuat malware lebih lentur saat satu jalur diblokir. Jika satu metode gagal, masih ada opsi lain untuk tetap mengirim atau mengambil komponen dari server penyerang.
Talos mengatakan data hasil pengintaian juga dapat disimpan lebih dulu di folder staging sementara. Setelah itu, data dapat diekspor ke server yang dikendalikan pelaku.
Mengapa pengguna Phone Link perlu waspada
Phone Link memang memudahkan pengguna mengakses notifikasi, pesan, dan panggilan langsung dari komputer. Namun kenyamanan itu juga berarti salinan data penting dari ponsel hadir di lingkungan Windows yang harus dijaga sama ketatnya.
Jika PC terinfeksi, pelaku bisa memanfaatkan apa yang sudah tersedia di sana tanpa perlu menyentuh perangkat seluler secara langsung. Risiko ini terutama relevan untuk informasi yang sensitif waktu, seperti OTP dan peringatan autentikasi.
Talos juga menyebut plugin Pheno dapat memeriksa apakah Phone Link sedang merutekan lalu lintas melalui koneksi proxy lokal. Pemeriksaan itu dilakukan sebelum malware mencoba memantau data yang disinkronkan.
Temuan ini menunjukkan bahwa ancaman modern tidak selalu menyerang target utama secara langsung. Dalam kasus ini, jalur yang dibidik justru adalah perangkat pendamping yang dipercaya untuk menampilkan isi ponsel.
Pengguna disarankan hanya mengunduh pembaruan perangkat lunak dari sumber tepercaya. Peneliti juga merekomendasikan agar perlindungan antivirus tetap diaktifkan di PC untuk membantu mendeteksi aktivitas mencurigakan.
Bagi pengguna yang mengandalkan Phone Link setiap hari, fokus perlindungan tidak cukup hanya pada ponsel. Keamanan komputer Windows yang terhubung menjadi faktor penting karena di situlah pesan, notifikasi, dan kode verifikasi dapat ikut terbuka ketika malware seperti CloudZ berhasil masuk.
Source: www.gadgets360.com






